nftables

nftables
作者さくしゃ	The Netfilter project
開発元かいはつもと	The Netfilter project
最新さいしん版ばん	0.9.4 / 2020年ねん4月がつ1日にち (4年ねん前まえ)
リポジトリ	git.netfilter.org/nftables/;
プログラミング; 言語げんご	C
対応たいおうOS	Linux
種別しゅべつ	パケットフィルタリング
ライセンス	GNU GPL v2
公式こうしきサイト	netfilter.org/projects/nftables/
	テンプレートを表示ひょうじ

nftablesは、パケット/データグラム/フレームのパケットフィルタリングと分類ぶんるい機能きのうを提供ていきょうするLinuxカーネルのサブシステムである。2014年ねん1月がつ19日にちに公開こうかいされたLinux 3.13以降いこうで利用りよう可能かのうである^[2]。

nftablesはNetfilter（英語えいご版ばん）の特定とくていの部分ぶぶんのみを置おき換かえ、それ以外いがいの部分ぶぶんは維持いじおよび再さい利用りようすることになっている。Netfilterに対たいするnftablesの利点りてんは、フィルタリングルールを纏まとめることができる (重複じゅうふくコードを減へらすことができる) ことと、スループットが高たかいことである。nftablesの設定せっていはユーザー空間くうかんユーティリティーのnftを介かいして行おこなうが、Netfilterではiptables、ip6tables、arptables（英語えいご版ばん）およびebtablesフレームワークを介かいして設定せっていを行おこなう。

nftablesは、ネットワークスタックへの既存きそんのフック、接続せつぞく追跡ついせきシステム、ユーザー空間くうかんのキューイングコンポーネント、ログサブシステムなどのNetfilterインフラストラクチャーの構成こうせい要素ようそを利用りようしている。

nft

コマンドラインの構文こうぶん

宛先あてさきのIPアドレスが1.2.3.4のパケットを破棄はきするnftのコマンドは、次つぎのように書かける。

nft add rule ip filter output ip daddr 1.2.3.4 drop

iptablesのコマンドの構文こうぶんはnftとは異ことなり、次つぎのようになる。

iptables -A OUTPUT -d 1.2.3.4 -j DROP

また、互換ごかんレイヤーが提供ていきょうされており、バックエンドとしてnftablesを使用しようしている場合ばあいでも、従来じゅうらいのiptablesのフィルタリングルールの構文こうぶんでパケットフィルタリングを行おこなうことができる。

歴史れきし

このプロジェクトは、NetfilterのコアチームのPatrick McHardyによってNetfilter Workshop 2008で公開こうかいされた^[3]。カーネルおよびユーザー空間くうかんの実装じっそうの最初さいしょのプレビュー版ばんは2009年ねん3月がつに公開こうかいされた^[4]。nftablesは「2001年ねんにiptablesが導入どうにゅうされて以降いこう、Linuxのファイアウォールでの最大さいだいの変更へんこう点てん」と呼よばれているが、ほとんど報道ほうどうされていない^[5]。著名ちょめいなハッカーであるFyodor Vaskovich（英語えいご版ばん）（Gordon Lyon）は「メインストリームのLinuxカーネルで公開こうかいされることを楽たのしみにしている。」と述のべている^[5]。

2012年ねん10月がつ、Pablo Neira Ayusoがiptablesの互換ごかんレイヤーを提案ていあんし^[6]、プロジェクトをメインストリームのLinuxカーネルに含ふくめる可能かのう性せいを発表はっぴょうした。

2013年ねん10月がつ26日にち、Pablo Neira Ayusoは、nftablesの中核ちゅうかく部分ぶぶんをメインストリームのLinuxカーネルにマージするためのプルリクエストを提出ていしゅつした^[7]。このプルリクエストは2014年ねん1月がつ19日にちにマージされ、Linux 3.13として公開こうかいされた^[2]。

概要がいよう

nftablesカーネルエンジンはLinuxカーネルに単純たんじゅんな仮想かそう機械きかいを追加ついかする。この仮想かそう機械きかいはバイトコードを実行じっこうして、パケットを検査けんさすることで、パケットの処理しょり方法ほうほうを決定けっていすることができる。この仮想かそう機械きかいによって行おこなわれる操作そうさの実装じっそうは意図いと的てきに基本きほん的てきなものになっている。この仮想かそう機械きかいはパケットからデータを取得しゅとくし、関連かんれんするメタデータ (インバウンドインタフェースなど) を確認かくにんし、接続せつぞく追跡ついせきデータを管理かんりすることができる。算術さんじゅつ演算えんざん子こ、ビット単位たんい演算えんざん子こおよび比較ひかく演算えんざん子こを使用しようして、そのデータに基もとづいて決定けっていを下くだすことができる。また、仮想かそう機械きかいはデータセット (通常つうじょうはIPアドレス) を操作そうさできるので、複数ふくすうの比較ひかく操作そうさを単一たんいつのフィルタリングルールに置おき換かえることができる^[8]。

上記じょうきの内容ないようは、iptablesのフィルタリングルールに反はんしている。iptablesのフィルタリングルールではプロトコルを識別しきべつする機能きのうが仕組しくみの奥深おくふかくに組くみ込こまれているので、フィルタリングルールを4回かい（IPv4、IPv6、ARPおよびイーサネットブリッジ）呼よび出だす必要ひつようがある。これは、エンジンがプロトコル毎ごとに固有こゆうであり、汎用はんよう的てきには使用しようできないからである^[8]。

iptablesに対たいするnftablesの主おもな利点りてんは、LinuxカーネルABIの簡素かんそ化か、重複じゅうふくコードの削減さくげん、エラーメッセージの改善かいぜんおよびフィルタリングルールのより効率こうりつ的てきな実行じっこう、保存ほぞんおよび増分ぞうぶん変更へんこうである。従来じゅうらい使用しようされていたiptables(8)、ip6tables(8)、arptables(8)およびebtables(8)（それぞれIPv4、IPv6、ARPおよびイーサネットブリッジ用よう）は、単一たんいつの実装じっそうとしてnft(8)に置おき換かえられる予定よていであり、カーネル内ない仮想かそう機械きかい上じょうにファイアウォール設定せっていを提供ていきょうする。

nftablesは単一たんいつのNetlink（英語えいご版ばん）トランザクション内ないで、1つ以上いじょうのファイアウォールルールのアトミックな置おき換かえができるように改良かいりょうされたユーザー空間くうかんAPIも提供ていきょうする。これによって、大おおきなフィルタリングルールを持もつファイアウォール設定せっていの変更へんこうが高速こうそく化かされる。また、ルールの変更へんこう中ちゅうに競合きょうごうが発生はっせいすることを避さけるためにも役立やくだつ。nftablesには以前いぜんのファイアウォールからの移行いこうを容易よういにする互換ごかん性せい機能きのう、iptablesのフィルタリングルールを変換へんかんするユーティリティー^[9]、バックエンドとしてnftablesを使用しようしている場合ばあいのiptablesのフィルタリングルールの互換ごかん構文こうぶんが含ふくまれている^[10]。

脚注きゃくちゅう

^ “nftables Release of the netfilter/nftables project”. The Netfilter project. 2020年ねん5月がつ22日にち閲覧えつらん。
^ ^a ^b 末岡すえおか洋子ようこ (2014年ねん1月がつ21日にち). “Linuxカーネル3.13リリース、nftablesやブロックデバイスレイヤーの改良かいりょうなどが特徴とくちょう”. OSDN Magazine. 2019年ねん10月がつ8日にち閲覧えつらん。
^ “User day program - NFWS2008”. The Netfilter project. 2017年ねん6月がつ30日にち時点じてんのオリジナルよりアーカイブ。2019年ねん10月がつ8日にち閲覧えつらん。
^ McHardy, Patrick (18 March 2009). "First release of nftables". linux-netdev (Mailing list). 2019年ねん10月がつ8日にち閲覧えつらん。
^ ^a ^b Patrick Gray (2009年ねん3月がつ26日にち). “NEWS: Linux Gets New Firewall”. Risky Business. 2019年ねん10月がつ8日にち閲覧えつらん。
^ Pablo Neira Ayuso (25 October 2012). "back on nf_tables (plus compatibility layer)". netfilter-devel (Mailing list). 2019年ねん10月がつ8日にち閲覧えつらん。
^ Pablo Neira Ayuso (14 October 2013). "netfilter updates: nf_tables pull request". netfilter-devel (Mailing list). 2019年ねん10月がつ8日にち閲覧えつらん。
^ ^a ^b Jonathan Corbet (2013年ねん8月がつ20日はつか). “The return of nftables”. LWN.net. 2019年ねん10月がつ8日にち閲覧えつらん。
^ Pablo Neira Ayuso (2016年ねん7月がつ13日にち). “src: add xt compat support”. 2019年ねん10月がつ8日にち閲覧えつらん。
^ Arturo Borrero Gonzalez (2018年ねん6月がつ16日にち). “Netfilter Workshop 2018 Berlin summary”. 2019年ねん10月がつ8日にち閲覧えつらん。

外部がいぶリンク

[1] “nftables Release of the netfilter/nftables project”. The Netfilter project. 2020年ねん5月がつ22日にち閲覧えつらん。

[OSDN_Magazine-2] 末岡すえおか洋子ようこ (2014年ねん1月がつ21日にち). “Linuxカーネル3.13リリース、nftablesやブロックデバイスレイヤーの改良かいりょうなどが特徴とくちょう”. OSDN Magazine. 2019年ねん10月がつ8日にち閲覧えつらん。

[3] “User day program - NFWS2008”. The Netfilter project. 2017年ねん6月がつ30日にち時点じてんのオリジナルよりアーカイブ。2019年ねん10月がつ8日にち閲覧えつらん。

[4] McHardy, Patrick (18 March 2009). "First release of nftables". linux-netdev (Mailing list). 2019年ねん10月がつ8日にち閲覧えつらん。

[Risky_Business-5] Patrick Gray (2009年ねん3月がつ26日にち). “NEWS: Linux Gets New Firewall”. Risky Business. 2019年ねん10月がつ8日にち閲覧えつらん。

[6] Pablo Neira Ayuso (25 October 2012). "back on nf_tables (plus compatibility layer)". netfilter-devel (Mailing list). 2019年ねん10月がつ8日にち閲覧えつらん。

[7] Pablo Neira Ayuso (14 October 2013). "netfilter updates: nf_tables pull request". netfilter-devel (Mailing list). 2019年ねん10月がつ8日にち閲覧えつらん。

[LWN-8] Jonathan Corbet (2013年ねん8月がつ20日はつか). “The return of nftables”. LWN.net. 2019年ねん10月がつ8日にち閲覧えつらん。

[9] Pablo Neira Ayuso (2016年ねん7月がつ13日にち). “src: add xt compat support”. 2019年ねん10月がつ8日にち閲覧えつらん。

[10] Arturo Borrero Gonzalez (2018年ねん6月がつ16日にち). “Netfilter Workshop 2018 Berlin summary”. 2019年ねん10月がつ8日にち閲覧えつらん。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

nft

コマンドラインの構文こうぶん

歴史れきし

概要がいよう

脚注きゃくちゅう

関連かんれん項目こうもく

外部がいぶリンク